¿Qué es mejor?

Yerson Jaramillo Vásquez.

Septiembre 2021.

Fundación Universitaria del Área Andina.

Ingeniería y Ciencias Básicas.
Análisis de riesgos informáticos
 Tabla de Contenidos

Introducción.....................................................................................................................................1
Objetivos..........................................................................................................................................2
Objetivo general........................................................................................................................2
Objetivos específicos................................................................................................................2
Tabla de comparación......................................................................................................................3
Ventajas...........................................................................................................................................7
Desventajas....................................................................................................................................10
Metodología escogida....................................................................................................................12
Conclusiones..................................................................................................................................13
Referencias bibliográficas.............................................................................................................14

pá g. ii
 Introducción

Los ataques a los sistemas informáticos han aumentado, como consecuencia a

los avances en los servicios y modelos de comunicaciones e información y el
auge de las nuevas Tecnologías de la Información y la Comunicación (TIC), el
uso continuo y generalizado a nivel global de la Internet; también se han
aumentado los ataques a los sistemas informáticos, lo que ha llevado a las
empresas a buscar estrategias que les permitan ejecutar análisis que
prevengan, controlen y reduzcan los riesgos asociados a la violación o
vulnerabilidad de su información.

pá g. 1
 Objetivos

Objetivo general

Reconocer las características de los métodos de análisis, evaluación y gestión

de riesgos informáticos de mayor uso en el mundo y establecer las posibles
ventajas y desventajas del uso de cada uno, en la implementación de un modelo
al interior de una organización.

Objetivos específicos

➢ Afianzar los conocimientos adquiridos en el eje de pensamiento 3.

pá g. 2
 Tabla de comparación

METODO CRAMM OCTAVE MAGERIT CORAS MEHARI EBIOS NIST800-30

ANALISIS Es una metodología Desarrollada en Es la Permite la Método de Es un juego de Aseguramiento
de análisis y control EE.UU para metodología construcción de una análisis de riesgo guías más una de los
de riesgos, recoger y analizar que sistematiza plataforma para el que cuenta con un herramienta de sistemas de
desarrollada en el información de el análisis de análisis de riesgos modelo de código libre Información
reino unido por la manera que se los riesgos que de sistemas de evaluación de gratuita, enfocada que
agencia central de pueda diseñar una pueden seguridad critica. La riesgos y módulos a gestores del almacenan,
cómputo y estrategia de presentar los primera versión de de componentes y riesgo de TI. procesan y
telecomunicaciones protección y activos de una este modelo se procesos. Con Desarrollada en transmiten
(CCTA). Se inició su planes de organización; publicó el año 2001 este modelo se un principio por el información.
desarrollo en 1980 y mitigación de por una detectan gobierno francés,
actualmente está en riesgo, basados en organización de vulnerabilidades ha tenido una
la versión 5.1 los riesgos investigación del mediante gran difusión y se
operacionales de gobierno noruego auditorias y se usa tanto en el
seguridad de la financiada por la analizan sector público
organización. comunidad europea situaciones de como en el
y organizaciones riesgo. privado no sólo de
públicas y privadas. Francia sino en
otros países.
CARACTETISTICAS *Metodología para el *Equilibra aspectos *Permite *Está compuesta por *Modelo de *Consta de un
análisis y gestión de de riesgos prepararse para 7 pasos. ciclo de 5 fases
riesgos cualitativo
riesgos. operativos, procesos de
y cuantitativo.
prácticas de auditoria, *Incluye análisis de *Aporta una visión
*Realiza análisis de seguridad y certificaciones y riesgo basado en global y coherente
*Capacidad para
riesgos cualitativo y tecnología acreditaciones. modelos que se de la seguridad
evaluar y simular
cuantitativo, por esto construyen bajo un de los sistemas
los niveles de
se conoce como una *Concientiza a las *Ofrece un lenguaje UML. de información
riesgo derivado de
metodología mixta. organizaciones método *Tiene un lenguaje
medidas
que la seguridad sistemático de programación *Permite
adicionales.
*Aplica sus conceptos informática no es para analizar propio diseñado bajo determinar
de manera formal, un asunto los riesgos UML. objetivos y
*Método para la
estructurada y solamente técnico derivados del requerimientos de
evaluación y
disciplinada. uso de *Soporta la seguridad de las
gestión de riesgos
*Presenta tecnologías de elaboración de empresas y
según
*Orientada a estándares la información y modelos gráficos organizaciones.
requerimientos de
proteger la internacionales comunicaciones bajo Microsoft Visio.
ISO/IEC
confidencialidad, que guían la (TIC).
20075:2008.
integridad y implementación de *Ayuda a *Incorpora formatos
disponibilidad de un seguridad para descubrir y estandarizados de
*Comprende
sistema y sus activos aspectos no planificar el informes para hacer
bases de datos de
técnicos. tratamiento posible una
conocimiento, con
oportuno para comunicación fluida
manuales y guías
*Tiene 3 mantener los entre distintos
que describen los
metodologías: riesgos bajo actores del proceso.
diferentes
control.
módulos
-OCTAVE: *Se pueden guardar
(Amenazas,
Definida para *Conciencia a los casos y
riesgos,
grandes los reutilizarlo, además
vulnerabilidades)
organizaciones de administradores incorpora una
trecientos o más de las biblioteca con casos
empleados. organizaciones de uso disponibles
de información para utilizar.
-OCTAVE-S: de la existencia
enfocada para de riesgos y de
pequeñas la necesidad de
empresas. gestionarlos.

-OCTAVE
ALLEGRO:

pá g. 3
 permite analizar
riesgos con mayor
enfoque en activos
de información.
METODO Es aplicable a todo *Construcción de Este se separa *Presentación. *Diagnóstico de *Estudio del
tipo de sistemas y los perfiles de en varios seguridad contexto.
redes de información, amenazas capítulos en los *Análisis de alto
y se puede aplicar en basados en cuales se nivel. *Análisis de los *Expresar las
todas las etapas del activos. explican intereses necesidades de
ciclo de vida del conceptos, *Aprobación. implicados por la seguridad.
sistema de *Identificación de formas de seguridad
información, desde la la infraestructura implementación *Identificación. de *Estudio de las
planificación y de , pasos y riesgo. *Análisis de riesgo amenazas.
viabilidad, a través vulnerabilidades criterios de
del desarrollo e tratamientos de *Estimación del *Expresar los
implementación del *Desarrollo de riesgos. riesgo. objetivos de
mismo. Se puede planes y seguridad.
utilizar si es necesario estrategias de *Evaluación del
para identificar la seguridad. riesgo. *Determinar los
seguridad y/o requerimientos de
requisitos de *Tratamiento del seguridad.
contingencia para un riesgo.
sistema de
información o de la
red. Esto puede
incluir:

*Durante la
planificación de la
estrategia es un
análisis de riesgos de
alto nivel que puede
ser necesaria para
identificar los
requisitos de
seguridad o de
emergencia para la
organización, los
costos relativos y las
implicaciones de su
implementación.
TECNICAS *Evaluación de la *Visión de *Análisis *Tipología y lista *Análisis del
vulnerabilidad. organización mediante tablas de activos contexto,
principales estudiando cuales
*Identificación y *Visión *Análisis son las
valoración de activos. tecnológica. algorítmicos *Análisis de dependencias de
activos: Activos de los procesos del
*Contramedidas de *Planificación de *Arboles de respaldo y negocio respecto
selección y las medidas y ataque vulnerabilidades a los sistemas de
recomendación. Con reducción de información.
respecto a esto, riesgos. *Técnicas *Análisis de
CRAAM calcula los graficas amenazas: *Análisis de las
riesgos para cada Eventos de necesidades de
grupo de activos *Valoración iniciación, actores seguridad y de las
contra las amenazas Delphi y condiciones amenazas,
a las que es específicas. determinando los
vulnerable en una puntos de
escala de 1 a 7, *Elementos de conflicto.
utilizando una matriz reducción de
de riesgo con valores riesgos: Servicios
predefinidos de seguridad *Resolución del
comparando los relevantes, conflicto,
valores de activos a beneficios de los estableciendo los

pá g. 4
las amenazas y servicios de objetivos de
niveles de seguridad. seguridad
vulnerabilidad. En la necesarios y
escala de 1, indica *Establecimiento suficientes, con
una línea base de del contexto. pruebas de su
bajo nivel de cumplimiento y
exigencia de *Daños dejando claros
seguridad y el 7, potenciales: Lista cuales son los
indica un requisito de de posibles riesgos
seguridad muy alto. escenarios de residuales.
Basándose en los riesgos.
resultados, CRAMM
produce una serie de
contramedidas
aplicables al sistema
o red que se
consideran
necesarias para
gestionar los riesgos
identificados.

pá g. 5
 Ventajas

Metodología CRAMM

 Realiza un análisis de riesgos cualitativos y cuantitativos.

 Aplica los conceptos de forma formal, estructurada y disciplinada

protegiendo los principios y sus activos.

 Se puede aplicar a nivel internacional.

 Una gran cantidad de herramientas de aplicación de la metodología.

 Facilita la certificación BS 7799 e ISO 17999.

 Evalúa el impacto empresarial

Metodología OCTAVE

 Comprende los procesos de análisis y gestión de riesgos

 Involucra a todo el personal de la entidad

 Se considera de las más completas, ya que involucra como elementos de

su modelo de análisis: procesos, activos y dependencias, recursos,
vulnerabilidades, amenazas y salvaguardas.

pá g. 6
  Es una metodología auto dirigida, es decir, la organización gestiona y
dirige la evaluación de sus riesgos a través de un equipo
multidisciplinario.

 Maneja infraestructura de vulnerabilidades

 Tiene planes y estrategias de seguridad

 Tiene claro las etapas de análisis de gestión de riesgos

Metodología MAGERIT

 Permite que todos los procesos estén bajo control.

 No requiere autorización previa para su uso.

 Permite un análisis completo cualitativo y cuantitativo.

 Posee un extenso archivo de inventarios en lo referente a recursos de

información, amenazas y tipos de activos.

 Prepara la organización para procesos de auditoría y control.

Metodología CORAS

 Basada en modelos de riesgos de sistemas de seguridad críticos.

 Posee diferentes herramientas de apoyo para el análisis de riesgos.

 Cuenta con un repositorio de experiencias utilizables.

 Fácil desarrollo y mantenimiento.

 Provee un reporte de las vulnerabilidades encontradas.

 Útil en el desarrollo y mantenimiento de nuevos sistemas.

pá g. 7
Metodología MEHARI

 Capaz de evaluar y lograr la disminución de riesgos en función del tipo de

organización

 Usa un modelo de análisis de riesgos cualitativo y cuantitativo.

 Posee bases de datos de datos de conocimientos con manuales, guías y

herramientas que permiten realizar el análisis de riesgos cuando sea
necesario.

 Combina análisis y evaluación de riesgos; particularmente, se especifica

un módulo de actualización rápida y uno de evaluación detallada.

 Detecta vulnerabilidades mediante auditorias y se analizan las situaciones

de riesgo.

Metodología EBIOS

 Mayor compatibilidad con las normas ISO

 Describe tipos de entidades

 Involucra vulnerabilidades

 Cumple los entandares de las normas ISO 27001, 27005 y 31000

 Es una herramienta de negociación confiable

 Métodos de ataque

Metodología NIST SP 800-30

 Bajo costo relacionado con el riesgo analizado y solventado

 Asegura los sistemas de información de datos

 Mejora los procesos

pá g. 8
  La guía provee herramientas para la valoración y mitigación de riesgos

 Es el adecuado para el análisis y gestión de riesgos informáticos

Desventajas

Metodología CRAMM

 Hay que pagar el costo de la licencia

 En su modelo no tiene contemplados elementos como los procesos y los

recursos

Metodología OCTAVE

 No explica en forma clara la definición y determinación de los activos de

información

 Requiere profundos conocimientos técnicos

 No tiene en cuenta el principio de la información

 Usa muchos documentos anexos para llevar a cabo el proceso de análisis

de riesgos, lo que la hace tediosa, complicada de entender

Metodología MAGERIT

 No posee un inventario completo en lo referente a políticas

pá g. 9
  No involucra recursos

 Tiene fallas políticas

 El hecho de tener que traducir de forma directa todas las valoraciones en

valores económicos hace que la aplicación de esta metodología sea
realmente costosa.

Metodología CORAS

 No realiza análisis de riesgos cuantitativo

 No contempla procesos

 No contempla dependencias

Metodología MEHARI

 La recomendación de los controles no la incluye dentro del análisis de

riesgos si no en la gestión de los riesgos

 La estimación del impacto se realiza en el proceso de gestión y

evaluación de riesgos

 Se enfoca solo en los principios de integridad, confidencialidad y

disponibilidad, olvidando el no repudio

Metodología EBIOS

 Toda su implementación tiende más a ser una herramienta de soporte

Metodología NIST SP 800-30

 En su modelo no tiene contemplados los procesos de cada área

pá g. 10
  No contempla claramente los activos

 No contempla las dependencias

Metodología escogida

La metodología escogida es la MAGERIT porque para mí es la opción más

efectiva y completa ya que protege la información en cuanto a integridad,
confidencialidad, disponibilidad y otras características importantes para
garantizar la seguridad de los sistemas y procesos de la organización. A su vez,
permite a las organizaciones un mayor asertividad en la toma de decisiones,
debido al ser su análisis de riesgos más completo tiene en cuenta elementos
empresariales que otras metodologías no contemplan.

La metodología MAGERIT ofrece un gran número de datos con respecto a

amenazas que pueda haber en una organización, sin embargo, cabe aclarar que
es una metodología costosa de implementar y mantener ya que se tiene que
traducir de manera directa todas las valoraciones en datos económicos, pero a
pesar de su alto costo ofrece muchos beneficios y se ajusta a las necesidades
de las compañías.
C. Supanta, «MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información». [En línea]. Disponible en:
https://www.ccncert.cni.es/documentos-publicos/1789-magerit-libro-i-
metodo/file.html

pá g. 11
 Conclusiones

El presente trabajo nos ayudó a entender un poco más que las metodologías de
análisis de riesgo ayudan a las organizaciones a tener un mayor control sobre
sus activos, su valor y minimizar las amenazas que pueden impactarlas
obligándolas a seleccionar medidas de seguridad que garanticen el éxito de sus
procesos y una mayor competitividad en el sector que se devuelven.

pá g. 12
Referencias bibliográficas

pá g. 13